infecté par vundo.IB, vundo.IH, abetear.I!Résolu/Fermé

Question

Bonjour,
Après avoir pris un méchant virus dans un faux Key-gen, j'ai pu nettoyer pas mal de malwares & Co mais il reste les 3 virus ci-dessus que détecte mon antivirus Etrust.
Pourriez-vous m'aider à m'en débarasser? Voici mon rapport Hickjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:12:56, on 11.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OBealsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\CA\ETRUST~1ealmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32egsvr32.exe
C:\WINDOWS\system32egsvr32.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CA\eTrust Antivirus\InocIT.exe
C:\Programme\Trend Micro\Hjakis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?cc=fr&toHttps=1&redig=55729C844D6A45819CAD368B3E178C9F
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://seb.de/CustomErrorPages/error.html?aspxerrorpath=/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1ealmon.exe -s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ronabwhc] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdatenonabwhc.dll"
O4 - HKLM\..\Run: [zaxafuhk] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zaxafuhk.dll"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - https://www.medion.com/de/shop (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugins/SEBChipcardPlugin126.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://www.gamespy.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://update.anark.com/client/version2-beta/windows-ie/en/AMClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\slfytvno.exe (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exe (file missing)
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Roger54 · Answer

Salut,


Télécharge combofix (par sUBs)ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
copie/colle ce rapport dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordinateur.

A+

lionelchan · Answer

Nonjour Roger, Okay, j'ai démarré Combofix et voici le rapport qui pourra t'aider à m'aider! D'avance merci. Lio ComboFix 07-12-12.3 - Lionel Hervet 2007-12-12 9:35:57.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.630 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Lionel Hervet\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten. onabwhc.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten.\zaxafuhk.dll C:\Programme\Lslfdtus C:\Programme\Lslfdtus\ghjvhdsw.dll C:\Programme\Orfasobb C:\Programme\Orfasobb\cjkpqocl.dll C:\Programme\SecCenter C:\Programme\SecCenter\scprot4.exe.bak C:\WINDOWS\sstem~1 C:\WINDOWS\sstem~1\s?stem\ C:\WINDOWS\system32\cfbwwxsi.dll C:\WINDOWS\system32\ldhejdmx.dll C:\WINDOWS\system32 qtss.ini C:\WINDOWS\system32 qtss.ini2 C:\WINDOWS\system32 fswikgs.dll C:\WINDOWS\system32\sstqn.dll C:\WINDOWS\system32\uphlfxxn.exe C:\WINDOWS\system32\vgfddwtv C:\WINDOWS\system32\vgfddwtv\bg1.gif C:\WINDOWS\system32\vgfddwtv\bgtop.gif C:\WINDOWS\system32\vgfddwtv\bottom1.gif C:\WINDOWS\system32\vgfddwtv\essentials.gif C:\WINDOWS\system32\vgfddwtv\icon1.ico C:\WINDOWS\system32\vgfddwtv\install1.gif C:\WINDOWS\system32\vgfddwtv\left1.gif C:\WINDOWS\system32\vgfddwtv\li.gif C:\WINDOWS\system32\vgfddwtv\logo.gif C:\WINDOWS\system32\vgfddwtv\main.htm C:\WINDOWS\system32\vgfddwtv\mainframe.htm C:\WINDOWS\system32\vgfddwtv einstall1.gif C:\WINDOWS\system32\vgfddwtv ight1.gif C:\WINDOWS\system32\vgfddwtv\s1.htm C:\WINDOWS\system32\vgfddwtv\s2.htm C:\WINDOWS\system32\vgfddwtv\s3.htm C:\WINDOWS\system32\vgfddwtv\SMTop1.gif C:\WINDOWS\system32\vgfddwtv\SMTop2.gif C:\WINDOWS\system32\vgfddwtv\SMTop3.gif C:\WINDOWS\system32\vgfddwtv\SMTop4.gif C:\WINDOWS\system32\vgfddwtv\soft1_off.gif C:\WINDOWS\system32\vgfddwtv\soft1_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft1_on.gif C:\WINDOWS\system32\vgfddwtv\soft1_on_ext.gif C:\WINDOWS\system32\vgfddwtv\soft2_off.gif C:\WINDOWS\system32\vgfddwtv\soft2_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft2_on.gif C:\WINDOWS\system32\vgfddwtv\soft2_on_ext.gif C:\WINDOWS\system32\vgfddwtv\soft3_off.gif C:\WINDOWS\system32\vgfddwtv\soft3_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft3_on.gif C:\WINDOWS\system32\vgfddwtv\soft3_on_ext.gif C:\WINDOWS\system32\vgfddwtv\softbottom_off.gif C:\WINDOWS\system32\vgfddwtv\softbottom_on.gif C:\WINDOWS\system32\vgfddwtv\softleft_off.gif C:\WINDOWS\system32\vgfddwtv\softleft_on.gif C:\WINDOWS\system32\vgfddwtv op1.gif C:\WINDOWS\system32\vgfddwtv op2.gif C:\WINDOWS\system32\vgfddwtv urnoff1.gif C:\WINDOWS\system32\vgfddwtv urnon1.gif C:\WINDOWS\system32\vgfddwtv\vgfddwtv2.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\LEGACY_IPRIP -------\LEGACY_NTLOAD -------\DomainService -------\Iprip -------\NTLOAD ((((((((((((((((((((((( Dateien erstellt von 2007-11-12 bis 2007-12-12 )))))))))))))))))))))))))))))) . 2007-12-12 08:21 . 2007-12-12 08:23 1,393 --a------ C:\WINDOWS\imsins.BAK 2007-12-09 12:09 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-09 12:09 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-09 12:09 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-09 12:09 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-09 12:09 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Skype 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Gemeinsame Dateien\Skype 2007-12-09 11:43 . 2007-12-09 17:16 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\skypePM 2007-12-09 11:43 . 2007-12-09 11:43 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-12-09 07:40 . 2007-12-09 07:41 834,100 ---hs---- C:\WINDOWS\system32\prqggdir.ini 2007-12-07 21:57 . 2007-12-08 07:49 834,400 ---hs---- C:\WINDOWS\system32\uomaxjmi.ini 2007-12-05 09:00 . 2007-12-07 21:52 834,280 ---hs---- C:\WINDOWS\system32\wmnlbejn.ini 2007-12-03 10:29 . 2007-12-03 11:11 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-02 20:19 . 2007-12-02 20:21 d-------- C:\Programme\Navilog1 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-02 16:15 . 2007-12-02 16:15 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-12-02 14:26 . 2007-12-02 14:26 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft 2007-12-02 14:14 . 2007-12-02 14:14 70,888 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-12-02 14:08 . 2003-09-20 15:48 d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-02 14:08 . 2003-09-20 17:26 d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2007-12-02 14:08 . 2003-09-20 16:45 dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-12-02 14:08 . 2003-09-20 16:45 d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-02 14:08 . 2007-12-12 09:39 d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-02 14:08 . 2003-09-26 13:53 dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-02 14:08 . 2003-10-01 21:28 d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-12-02 14:08 . 2003-09-26 20:41 d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-02 14:08 . 2003-09-27 11:54 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cyberlink 2007-12-02 14:08 . 2003-09-27 00:21 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead 2007-12-02 14:08 . 2007-12-02 16:15 dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-02 14:03 . 2007-12-09 12:09 4,208 --a------ C:\WINDOWS\system32 mp.reg 2007-12-02 12:53 . 2007-12-02 12:53 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Grisoft 2007-12-02 12:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-02 12:52 . 2007-12-02 12:52 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-12-01 23:44 . 2007-12-01 23:44 9,216 --a------ C:\Programme\avp.exe 2007-11-25 13:17 . 2007-11-25 13:17 d-------- C:\VundoFix Backups 2007-11-25 12:58 . 2007-11-25 12:58 d-------- C:\Programme\InCode Solutions 2007-11-24 21:55 . 2007-12-02 13:00 d-------- C:\Programme\Trend Micro 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\VPTNFILE.841 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\LPT$VPN.841 2007-11-21 15:39 . 2007-11-21 15:41 d-------- C:\WINDOWS\AU_Temp 2007-11-21 14:32 . 2007-12-01 23:44 d-------- C:\Programme\E404 Helper 2007-11-21 14:28 . 2007-11-21 15:28 d-------- C:\Programme\qpcbanax 2007-11-21 14:28 . 2007-11-21 14:29 1,149,472 --a------ C:\Install 2007-11-16 08:39 . 2007-12-11 08:57 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-16 08:39 . 2007-11-16 08:39 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-14 19:53 . 2007-11-14 19:53 d-------- C:\Programme\Sierra 2007-11-12 22:32 . 2007-11-12 22:32 0 --a------ C:\WINDOWS\SCARDSRV.TMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-09 16:39 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Skype 2007-12-09 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-12-03 21:42 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Azureus 2007-12-02 11:47 70,888 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-22 12:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-22 12:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-21 19:16 --------- d-----w C:\Programme\Medion Home Cinema XL II 2007-11-21 19:15 --------- d-----w C:\Programme\Microsoft Works 2007-11-21 19:12 --------- d-----w C:\Programme\GetRight 2007-11-21 14:41 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-11-21 14:41 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll 2007-11-21 14:41 267,845 ----a-w C:\WINDOWS sc.exe 2007-11-21 14:41 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-11-21 08:03 56,720 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\wklnhst.dat 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-27 20:50 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Earthsim 2007-10-27 15:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2007-10-26 19:44 --------- d-----w C:\Programme\ATI Technologies 2007-10-17 07:19 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-10-16 12:14 --------- d-----w C:\Programme\Ubisoft 2007-10-16 12:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-15 08:35 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Canon 2007-10-12 06:30 --------- d-----w C:\Programme\Java 2007-10-10 09:55 737,280 ----a-w C:\WINDOWS\iun6002.exe 2006-08-01 19:56 278,528 ----a-w C:\Programme\Gemeinsame Dateien\FDEUnInstaller.exe 2006-04-19 18:07 244 ----a-w C:\Programme\INSTALL.LOG 2006-04-07 19:17 1 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\SI.bin 2004-11-30 07:23 40,960 ------r C:\Programme\delete.exe 2003-08-14 17:13 40,960 ----a-w C:\Programme\Uninstall_PCM.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a9c71a47-af29-4ce0-8e46-666b4d79eddb}] C:\WINDOWS\system32\pixtfrri.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}] 2007-12-01 23:44 17920 --a------ C:\Programme\E404 Helper\e404.v4.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "Dit"="Dit.exe" [] "CHotkey"="mHotkey.exe" [2003-06-27 14:39 C:\WINDOWS\mHotkey.exe] "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 15:37] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 16:14] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB ealsched.exe" [2003-09-26 13:53] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 15:09] "Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1 ealmon.exe" [2004-06-25 23:17] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 16:15] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-03 22:39] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winzdn32] winzdn32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "InCD"=C:\Programme\Ahead\InCD\InCD.exe "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "SideWinderTrayV4"=C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 GcKernel;Microsoft SideWinder Value Add - Filtertreiber;C:\WINDOWS\system32\DRIVERS\GcKernel.sys R3 HIDSwvd;Microsoft SideWinder-Minitreiber für virtuelles HID-Gerät;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOKUME~1\LIONEL~1\LOKALE~1\Temp\sony_ssm.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Inhalt des "geplante Tasks" Ordners "2007-11-23 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe "2007-12-12 08:00:00 C:\WINDOWS\Tasks\AD6098B9916F130D.job" - c:\dokume~1\lionel~1\anwend~1\bodyfa~1\Open Live Creative.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-12 09:42:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-12 9:44:12 - machine was rebooted . 2007-12-12 07:24:48 --- E O F ---

lionelchan · Answer

Bonjour Roger, Okay, j'ai démarré Combofix et voici le rapport qui pourra t'aider à m'aider! D'avance merci. Lio ComboFix 07-12-12.3 - Lionel Hervet 2007-12-12 9:35:57.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.630 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Lionel Hervet\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\All Users\Anwendungsdaten. onabwhc.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten.\zaxafuhk.dll C:\Programme\Lslfdtus C:\Programme\Lslfdtus\ghjvhdsw.dll C:\Programme\Orfasobb C:\Programme\Orfasobb\cjkpqocl.dll C:\Programme\SecCenter C:\Programme\SecCenter\scprot4.exe.bak C:\WINDOWS\sstem~1 C:\WINDOWS\sstem~1\s?stem\ C:\WINDOWS\system32\cfbwwxsi.dll C:\WINDOWS\system32\ldhejdmx.dll C:\WINDOWS\system32 qtss.ini C:\WINDOWS\system32 qtss.ini2 C:\WINDOWS\system32 fswikgs.dll C:\WINDOWS\system32\sstqn.dll C:\WINDOWS\system32\uphlfxxn.exe C:\WINDOWS\system32\vgfddwtv C:\WINDOWS\system32\vgfddwtv\bg1.gif C:\WINDOWS\system32\vgfddwtv\bgtop.gif C:\WINDOWS\system32\vgfddwtv\bottom1.gif C:\WINDOWS\system32\vgfddwtv\essentials.gif C:\WINDOWS\system32\vgfddwtv\icon1.ico C:\WINDOWS\system32\vgfddwtv\install1.gif C:\WINDOWS\system32\vgfddwtv\left1.gif C:\WINDOWS\system32\vgfddwtv\li.gif C:\WINDOWS\system32\vgfddwtv\logo.gif C:\WINDOWS\system32\vgfddwtv\main.htm C:\WINDOWS\system32\vgfddwtv\mainframe.htm C:\WINDOWS\system32\vgfddwtv einstall1.gif C:\WINDOWS\system32\vgfddwtv ight1.gif C:\WINDOWS\system32\vgfddwtv\s1.htm C:\WINDOWS\system32\vgfddwtv\s2.htm C:\WINDOWS\system32\vgfddwtv\s3.htm C:\WINDOWS\system32\vgfddwtv\SMTop1.gif C:\WINDOWS\system32\vgfddwtv\SMTop2.gif C:\WINDOWS\system32\vgfddwtv\SMTop3.gif C:\WINDOWS\system32\vgfddwtv\SMTop4.gif C:\WINDOWS\system32\vgfddwtv\soft1_off.gif C:\WINDOWS\system32\vgfddwtv\soft1_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft1_on.gif C:\WINDOWS\system32\vgfddwtv\soft1_on_ext.gif C:\WINDOWS\system32\vgfddwtv\soft2_off.gif C:\WINDOWS\system32\vgfddwtv\soft2_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft2_on.gif C:\WINDOWS\system32\vgfddwtv\soft2_on_ext.gif C:\WINDOWS\system32\vgfddwtv\soft3_off.gif C:\WINDOWS\system32\vgfddwtv\soft3_off_ext.gif C:\WINDOWS\system32\vgfddwtv\soft3_on.gif C:\WINDOWS\system32\vgfddwtv\soft3_on_ext.gif C:\WINDOWS\system32\vgfddwtv\softbottom_off.gif C:\WINDOWS\system32\vgfddwtv\softbottom_on.gif C:\WINDOWS\system32\vgfddwtv\softleft_off.gif C:\WINDOWS\system32\vgfddwtv\softleft_on.gif C:\WINDOWS\system32\vgfddwtv op1.gif C:\WINDOWS\system32\vgfddwtv op2.gif C:\WINDOWS\system32\vgfddwtv urnoff1.gif C:\WINDOWS\system32\vgfddwtv urnon1.gif C:\WINDOWS\system32\vgfddwtv\vgfddwtv2.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_DOMAINSERVICE -------\LEGACY_IPRIP -------\LEGACY_NTLOAD -------\DomainService -------\Iprip -------\NTLOAD ((((((((((((((((((((((( Dateien erstellt von 2007-11-12 bis 2007-12-12 )))))))))))))))))))))))))))))) . 2007-12-12 08:21 . 2007-12-12 08:23 1,393 --a------ C:\WINDOWS\imsins.BAK 2007-12-09 12:09 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-09 12:09 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-09 12:09 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-09 12:09 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-09 12:09 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Skype 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Gemeinsame Dateien\Skype 2007-12-09 11:43 . 2007-12-09 17:16 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\skypePM 2007-12-09 11:43 . 2007-12-09 11:43 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-12-09 07:40 . 2007-12-09 07:41 834,100 ---hs---- C:\WINDOWS\system32\prqggdir.ini 2007-12-07 21:57 . 2007-12-08 07:49 834,400 ---hs---- C:\WINDOWS\system32\uomaxjmi.ini 2007-12-05 09:00 . 2007-12-07 21:52 834,280 ---hs---- C:\WINDOWS\system32\wmnlbejn.ini 2007-12-03 10:29 . 2007-12-03 11:11 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-02 20:19 . 2007-12-02 20:21 d-------- C:\Programme\Navilog1 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-02 16:15 . 2007-12-02 16:15 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-12-02 14:26 . 2007-12-02 14:26 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft 2007-12-02 14:14 . 2007-12-02 14:14 70,888 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-12-02 14:08 . 2003-09-20 15:48 d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-02 14:08 . 2003-09-20 17:26 d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2007-12-02 14:08 . 2003-09-20 16:45 dr------- C:\Dokumente und Einstellungen\Administrator\Startmen 2007-12-02 14:08 . 2003-09-20 16:45 d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-02 14:08 . 2007-12-12 09:39 d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-02 14:08 . 2003-09-26 13:53 dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-02 14:08 . 2003-10-01 21:28 d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-12-02 14:08 . 2003-09-26 20:41 d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-02 14:08 . 2003-09-27 11:54 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cyberlink 2007-12-02 14:08 . 2003-09-27 00:21 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead 2007-12-02 14:08 . 2007-12-02 16:15 dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-02 14:03 . 2007-12-09 12:09 4,208 --a------ C:\WINDOWS\system32 mp.reg 2007-12-02 12:53 . 2007-12-02 12:53 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Grisoft 2007-12-02 12:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-02 12:52 . 2007-12-02 12:52 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-12-01 23:44 . 2007-12-01 23:44 9,216 --a------ C:\Programme\avp.exe 2007-11-25 13:17 . 2007-11-25 13:17 d-------- C:\VundoFix Backups 2007-11-25 12:58 . 2007-11-25 12:58 d-------- C:\Programme\InCode Solutions 2007-11-24 21:55 . 2007-12-02 13:00 d-------- C:\Programme\Trend Micro 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\VPTNFILE.841 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\LPT$VPN.841 2007-11-21 15:39 . 2007-11-21 15:41 d-------- C:\WINDOWS\AU_Temp 2007-11-21 14:32 . 2007-12-01 23:44 d-------- C:\Programme\E404 Helper 2007-11-21 14:28 . 2007-11-21 15:28 d-------- C:\Programme\qpcbanax 2007-11-21 14:28 . 2007-11-21 14:29 1,149,472 --a------ C:\Install 2007-11-16 08:39 . 2007-12-11 08:57 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2007-11-16 08:39 . 2007-11-16 08:39 1,409 --a------ C:\WINDOWS\QTFont.for 2007-11-14 19:53 . 2007-11-14 19:53 d-------- C:\Programme\Sierra 2007-11-12 22:32 . 2007-11-12 22:32 0 --a------ C:\WINDOWS\SCARDSRV.TMP . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-09 16:39 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Skype 2007-12-09 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-12-03 21:42 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Azureus 2007-12-02 11:47 70,888 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-22 12:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-22 12:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-21 19:16 --------- d-----w C:\Programme\Medion Home Cinema XL II 2007-11-21 19:15 --------- d-----w C:\Programme\Microsoft Works 2007-11-21 19:12 --------- d-----w C:\Programme\GetRight 2007-11-21 14:41 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-11-21 14:41 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll 2007-11-21 14:41 267,845 ----a-w C:\WINDOWS sc.exe 2007-11-21 14:41 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-11-21 08:03 56,720 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\wklnhst.dat 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-27 20:50 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Earthsim 2007-10-27 15:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2007-10-26 19:44 --------- d-----w C:\Programme\ATI Technologies 2007-10-17 07:19 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-10-16 12:14 --------- d-----w C:\Programme\Ubisoft 2007-10-16 12:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-15 08:35 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Canon 2007-10-12 06:30 --------- d-----w C:\Programme\Java 2007-10-10 09:55 737,280 ----a-w C:\WINDOWS\iun6002.exe 2006-08-01 19:56 278,528 ----a-w C:\Programme\Gemeinsame Dateien\FDEUnInstaller.exe 2006-04-19 18:07 244 ----a-w C:\Programme\INSTALL.LOG 2006-04-07 19:17 1 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\SI.bin 2004-11-30 07:23 40,960 ------r C:\Programme\delete.exe 2003-08-14 17:13 40,960 ----a-w C:\Programme\Uninstall_PCM.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{a9c71a47-af29-4ce0-8e46-666b4d79eddb}] C:\WINDOWS\system32\pixtfrri.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}] 2007-12-01 23:44 17920 --a------ C:\Programme\E404 Helper\e404.v4.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "Dit"="Dit.exe" [] "CHotkey"="mHotkey.exe" [2003-06-27 14:39 C:\WINDOWS\mHotkey.exe] "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 15:37] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 16:14] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB ealsched.exe" [2003-09-26 13:53] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 15:09] "Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1 ealmon.exe" [2004-06-25 23:17] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 16:15] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-03 22:39] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "DisableRegistryTools"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon otify\winzdn32] winzdn32.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "InCD"=C:\Programme\Ahead\InCD\InCD.exe "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "SideWinderTrayV4"=C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 GcKernel;Microsoft SideWinder Value Add - Filtertreiber;C:\WINDOWS\system32\DRIVERS\GcKernel.sys R3 HIDSwvd;Microsoft SideWinder-Minitreiber für virtuelles HID-Gerät;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOKUME~1\LIONEL~1\LOKALE~1\Temp\sony_ssm.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Inhalt des "geplante Tasks" Ordners "2007-11-23 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe "2007-12-12 08:00:00 C:\WINDOWS\Tasks\AD6098B9916F130D.job" - c:\dokume~1\lionel~1\anwend~1\bodyfa~1\Open Live Creative.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-12 09:42:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-12 9:44:12 - machine was rebooted . 2007-12-12 07:24:48 --- E O F ---

Roger54 · Answer

Salut lionelchan,

Bon j'ai quelques questions et quelques vérification à te faire faire avant de te donner une procédure.


Est-ce que tu as eu Kaspersky sur ton PC, 
C:\Programme\avp.exe <- ce fichier est en rapport avec kaspersky normalement, mais pas de traces sur ton PC

Est-ce que tu as telecharger removeit_pro, tu as des fichiers qui peuvent appartenir a ce programme, mais on ne le voit pas directement.

Tu connais?
C:\Install


Je vais te faire analyser quelques fichiers:

Rends toi sur ce site :
https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :
C:\WINDOWS\system32\prqggdir.ini 
Clique sur Envoyer le fichier.

Un rapport va s'élaborer.
Clic sur "Show last report" pour le voir.

Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.


Refait cette opération pour ces fichiers:
C:\WINDOWS\system32\uomaxjmi.ini 
C:\WINDOWS\system32\wmnlbejn.ini 
C:\Programme\qpcbanax 


P.S. Si tu ne trouve pas ces fichiers, tente en faisant ça avant:

Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outils/options des dossiers/affichage
Coche « afficher les fichiers et dossiers cachés »
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

A+

lionelchan · Answer

Bonjour Roger,
Tout d'abord merci pour ta rapidité et la précision de tes questions.
Kaspersky: j'ai seulement visité le site web il y quelques temps mais je n'ai pas installé le programme
RemoveIt_Pro: j'ai installé effectivement ce programme mais ce n'était qu'une version d'évaluation. Je l'ai désinstallée bien vite, un peu frustré de m'être laissé convaincre par une pub malveillante. J'y ferai plus, promis.
J'ai suivi la procédure piur montrer les fichiers sous windows et ensuite il les a retrouvés. Un petit cachotier ce windows...
J'ai analysé les 4 fichiers. Les 3 premiers rapports sont négatifs. Le 4 ème fichier n'était en fait qu'un dossier sans rien à l'intérieur. Dois-je l'effacer?
Voici les rapports

Fichier prqggdir.ini reÃ§u le 2007.12.13 08:46:46 (CET)
Antivirus	Version	DerniÃ¨re mise Ã  jour	RÃ©sultat
AhnLab-V3	2007.12.13.10	2007.12.12	-
AntiVir	7.6.0.40	2007.12.13	-
Authentium	4.93.8	2007.12.13	-
Avast	4.7.1098.0	2007.12.12	-
AVG	7.5.0.503	2007.12.12	-
BitDefender	7.2	2007.12.13	-
CAT-QuickHeal	9.00	2007.12.12	-
ClamAV	0.91.2	2007.12.12	-
DrWeb	4.44.0.09170	2007.12.12	-
eSafe	7.0.15.0	2007.12.12	-
eTrust-Vet	31.3.5373	2007.12.13	-
Ewido	4.0	2007.12.12	-
FileAdvisor	1	2007.12.13	-
Fortinet	3.14.0.0	2007.12.13	-
F-Prot	4.4.2.54	2007.12.12	-
F-Secure	6.70.13030.0	2007.12.13	-
Ikarus	T3.1.1.12	2007.12.13	-
Kaspersky	7.0.0.125	2007.12.13	-
McAfee	5184	2007.12.12	-
Microsoft	1.3007	2007.12.13	-
NOD32v2	2720	2007.12.12	-
Norman	5.80.02	2007.12.12	-
Panda	9.0.0.4	2007.12.12	-
Prevx1	V2	2007.12.13	-
Rising	20.22.30.00	2007.12.13	-
Sophos	4.24.0	2007.12.13	-
Sunbelt	2.2.907.0	2007.12.13	-
Symantec	10	2007.12.13	-
TheHacker	6.2.9.157	2007.12.12	-
VBA32	3.12.2.5	2007.12.10	-
VirusBuster	4.3.26:9	2007.12.12	-
Webwasher-Gateway	6.6.2	2007.12.13	-
Information additionnelle
File size: 834100 bytes
MD5: 52352f9a9939c48714eb827c0ed8ba0d
SHA1: 63152866135bfd949bdcefeec40691536aeff739
PEiD: -

Fichier uomaxjmi.ini reÃ§u le 2007.12.13 08:55:52 (CET)
Antivirus	Version	DerniÃ¨re mise Ã  jour	RÃ©sultat
AhnLab-V3	2007.12.13.10	2007.12.12	-
AntiVir	7.6.0.40	2007.12.13	-
Authentium	4.93.8	2007.12.13	-
Avast	4.7.1098.0	2007.12.12	-
AVG	7.5.0.503	2007.12.12	-
BitDefender	7.2	2007.12.13	-
CAT-QuickHeal	9.00	2007.12.12	-
ClamAV	0.91.2	2007.12.12	-
DrWeb	4.44.0.09170	2007.12.12	-
eSafe	7.0.15.0	2007.12.12	-
eTrust-Vet	31.3.5373	2007.12.13	-
Ewido	4.0	2007.12.12	-
FileAdvisor	1	2007.12.13	-
Fortinet	3.14.0.0	2007.12.13	-
F-Prot	4.4.2.54	2007.12.12	-
F-Secure	6.70.13030.0	2007.12.13	-
Ikarus	T3.1.1.12	2007.12.13	-
Kaspersky	7.0.0.125	2007.12.13	-
McAfee	5184	2007.12.12	-
Microsoft	1.3007	2007.12.13	-
NOD32v2	2720	2007.12.12	-
Norman	5.80.02	2007.12.12	-
Panda	9.0.0.4	2007.12.12	-
Prevx1	V2	2007.12.13	-
Rising	20.22.30.00	2007.12.13	-
Sophos	4.24.0	2007.12.13	-
Sunbelt	2.2.907.0	2007.12.13	-
Symantec	10	2007.12.13	-
TheHacker	6.2.9.157	2007.12.12	-
VBA32	3.12.2.5	2007.12.10	-
VirusBuster	4.3.26:9	2007.12.12	-
Webwasher-Gateway	6.6.2	2007.12.13	-
Information additionnelle
File size: 834400 bytes
MD5: 3f256a4e837a0de87cb7622bd88417e7
SHA1: 0aadc282c9d4a80790b1a95a850bef4ec3a0a2ae
PEiD: -

Fichier wmnlbejn.ini reÃ§u le 2007.12.13 09:02:22 (CET)
Antivirus	Version	DerniÃ¨re mise Ã  jour	RÃ©sultat
AhnLab-V3	2007.12.13.10	2007.12.12	-
AntiVir	7.6.0.40	2007.12.13	-
Authentium	4.93.8	2007.12.13	-
Avast	4.7.1098.0	2007.12.12	-
AVG	7.5.0.503	2007.12.12	-
BitDefender	7.2	2007.12.13	-
CAT-QuickHeal	9.00	2007.12.12	-
ClamAV	0.91.2	2007.12.12	-
DrWeb	4.44.0.09170	2007.12.12	-
eSafe	7.0.15.0	2007.12.12	-
eTrust-Vet	31.3.5373	2007.12.13	-
Ewido	4.0	2007.12.12	-
FileAdvisor	1	2007.12.13	-
Fortinet	3.14.0.0	2007.12.13	-
F-Prot	4.4.2.54	2007.12.12	-
F-Secure	6.70.13030.0	2007.12.13	-
Ikarus	T3.1.1.12	2007.12.13	-
Kaspersky	7.0.0.125	2007.12.13	-
McAfee	5184	2007.12.12	-
Microsoft	1.3007	2007.12.13	-
NOD32v2	2720	2007.12.12	-
Norman	5.80.02	2007.12.12	-
Panda	9.0.0.4	2007.12.12	-
Prevx1	V2	2007.12.13	-
Rising	20.22.30.00	2007.12.13	-
Sophos	4.24.0	2007.12.13	-
Sunbelt	2.2.907.0	2007.12.13	-
Symantec	10	2007.12.13	-
TheHacker	6.2.9.157	2007.12.12	-
VBA32	3.12.2.5	2007.12.10	-
VirusBuster	4.3.26:9	2007.12.12	-
Webwasher-Gateway	6.6.2	2007.12.13	-
Information additionnelle
File size: 834280 bytes
MD5: dab87984a3370010cac94b8e824bb28a
SHA1: 8f62de83c5b9e8596572e79cfd051a1bd17dfd99
PEiD: -

J'ai trouvé des lignes suspectes dans le rapport hijackthis, aux 02 et 20 c'est parfois écrit "file is missing". Y a t-il matière à faire une investigation plus approfondie?

Merci d'avance,
Lionel

Roger54 · Answer

Salut,


Pour les 02 et 020 qui restent, on regardera après le passage de ce script.
On continue


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

File::
C:\WINDOWS\imsins.BAK 
C:\WINDOWS\system32	mp.reg 
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\Programme\avp.exe
C:\WINDOWS\iun6002.exe 

Folder::
C:\Programme\InCode Solutions
C:\Programme\E404 Helper

Registry::
[-HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a9c71a47-af29-4ce0-8e46-666b4d79eddb}]
[-HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\winzdn32]



Enregistre ce fichier sous le nom CFScript

# Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif

# Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
# Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
# Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

# Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


Fait un scan avec AVG Anti-spyware, tu dois l'avoir normalement. (poste le rapport sur le forum)
On verra s' il supprime ce fichier:
C:\WINDOWS\system32\drivers\secdrv.sys <- peut être detecté comme Rootkit.Agent.DP .

Tu ne m'as pas dit si tu connaissais C:\Install .
Est-ce que tu as eu une infection via Msn ou IRC ? 
Ce fichier est supprimé par MsnFix.


A+

lionelchan · Answer

Salut Roger, voici le rapport de combofix: ComboFix 07-12-12.3 - Lionel Hervet 2007-12-14 8:31:40.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.622 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Lionel Hervet\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Lionel Hervet\Desktop\CFScript.txt * Neuer Wiederherstellungspunkt wurde erstellt FILE C:\Programme\avp.exe C:\WINDOWS\imsins.BAK C:\WINDOWS\iun6002.exe C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32 mp.reg . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Programme\avp.exe C:\Programme\E404 Helper C:\Programme\E404 Helper\e404.v4.dll C:\Programme\E404 Helper\e404.v5.dll C:\Programme\InCode Solutions C:\WINDOWS\iun6002.exe C:\WINDOWS\QTFont.for C:\WINDOWS\QTFont.qfn C:\WINDOWS\system32 mp.reg . ((((((((((((((((((((((( Dateien erstellt von 2007-11-14 bis 2007-12-14 )))))))))))))))))))))))))))))) . 2007-12-12 21:43 . 2007-12-12 21:43 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\ppStream 2007-12-12 21:43 . 2007-12-12 21:43 18 --a------ C:\WINDOWS\psnetwork.ini 2007-12-12 21:05 . 2007-12-12 21:05 0 --a------ C:\WINDOWS\SCARDSRV.TMP 2007-12-09 12:09 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-12-09 12:09 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-12-09 12:09 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-12-09 12:09 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-12-09 12:09 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Skype 2007-12-09 11:43 . 2007-12-09 11:43 d-------- C:\Programme\Gemeinsame Dateien\Skype 2007-12-09 11:43 . 2007-12-09 17:16 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\skypePM 2007-12-09 11:43 . 2007-12-09 11:43 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2007-12-09 07:40 . 2007-12-09 07:41 834,100 ---hs---- C:\WINDOWS\system32\prqggdir.ini 2007-12-07 21:57 . 2007-12-08 07:49 834,400 ---hs---- C:\WINDOWS\system32\uomaxjmi.ini 2007-12-05 09:00 . 2007-12-07 21:52 834,280 ---hs---- C:\WINDOWS\system32\wmnlbejn.ini 2007-12-03 10:29 . 2007-12-03 11:11 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-12-02 20:19 . 2007-12-02 20:21 d-------- C:\Programme\Navilog1 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\WINDOWS\system32\Kaspersky Lab 2007-12-02 16:19 . 2007-12-02 16:19 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-12-02 16:15 . 2007-12-02 16:15 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback 2007-12-02 14:26 . 2007-12-02 14:26 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Grisoft 2007-12-02 14:14 . 2007-12-02 14:14 70,888 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-12-02 14:08 . 2003-09-20 15:48 d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen 2007-12-02 14:08 . 2003-09-20 17:26 d---s---- C:\Dokumente und Einstellungen\Administrator\UserData 2007-12-02 14:08 . 2003-09-20 16:45 dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü 2007-12-02 14:08 . 2003-09-20 16:45 d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung 2007-12-02 14:08 . 2007-12-12 09:44 d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen 2007-12-02 14:08 . 2003-09-26 13:53 dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten 2007-12-02 14:08 . 2003-10-01 21:28 d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien 2007-12-02 14:08 . 2003-09-26 20:41 d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung 2007-12-02 14:08 . 2003-09-27 11:54 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cyberlink 2007-12-02 14:08 . 2003-09-27 00:21 d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ahead 2007-12-02 14:08 . 2007-12-02 16:15 dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten 2007-12-02 12:53 . 2007-12-02 12:53 d-------- C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Grisoft 2007-12-02 12:53 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys 2007-12-02 12:52 . 2007-12-02 12:52 d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft 2007-11-25 13:17 . 2007-11-25 13:17 d-------- C:\VundoFix Backups 2007-11-24 21:55 . 2007-12-02 13:00 d-------- C:\Programme\Trend Micro 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\VPTNFILE.841 2007-11-21 15:41 . 2007-11-21 15:41 39,606,581 --a------ C:\WINDOWS\LPT$VPN.841 2007-11-21 15:39 . 2007-11-21 15:41 d-------- C:\WINDOWS\AU_Temp 2007-11-21 14:28 . 2007-11-21 15:28 d-------- C:\Programme\qpcbanax 2007-11-21 14:28 . 2007-11-21 14:29 1,149,472 --a------ C:\Install 2007-11-14 19:53 . 2007-11-14 19:53 d-------- C:\Programme\Sierra . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-09 16:39 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Skype 2007-12-09 10:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype 2007-12-03 21:42 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Azureus 2007-12-02 11:47 70,888 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2007-11-25 11:15 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll 2007-11-22 12:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-11-22 12:50 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-11-22 12:24 --------- d--h--w C:\Programme\InstallShield Installation Information 2007-11-21 19:16 --------- d-----w C:\Programme\Medion Home Cinema XL II 2007-11-21 19:15 --------- d-----w C:\Programme\Microsoft Works 2007-11-21 19:12 --------- d-----w C:\Programme\GetRight 2007-11-21 14:41 86,094 ----a-w C:\WINDOWS\BPMNT.dll 2007-11-21 14:41 71,749 ----a-w C:\WINDOWS\HCExtOutput.dll 2007-11-21 14:41 267,845 ----a-w C:\WINDOWS sc.exe 2007-11-21 14:41 1,163,344 ----a-w C:\WINDOWS\vsapi32.dll 2007-11-21 08:03 56,720 ----a-w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\wklnhst.dat 2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-27 20:50 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Earthsim 2007-10-27 15:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NVIDIA 2007-10-26 19:44 --------- d-----w C:\Programme\ATI Technologies 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll 2007-10-17 07:19 --------- d-----w C:\Programme\Microsoft ActiveSync 2007-10-16 12:14 --------- d-----w C:\Programme\Ubisoft 2007-10-16 12:14 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield 2007-10-15 08:35 --------- d-----w C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Canon 2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll 2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll 2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll 2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll 2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll 2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll 2007-09-29 02:14 499,712 ------w C:\WINDOWS\system32\ati2cqag.dll 2007-09-26 10:06 81,920 ----a-w C:\WINDOWS\system32\W32N50.dll 2007-09-26 10:06 17,134 ----a-w C:\WINDOWS\system32\PCANDIS5.sys 2007-09-17 00:10 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32 vwddi.dll 2007-09-16 23:07 81,920 ----a-w C:\WINDOWS\system32 vmctray.dll 2007-09-16 23:07 8,491,008 ----a-w C:\WINDOWS\system32 vcpl.dll 2007-09-16 23:07 753,664 ----a-w C:\WINDOWS\system32 vcplui.exe 2007-09-16 23:07 6,746,112 ----a-w C:\WINDOWS\system32 voglnt.dll 2007-09-16 23:07 6,344,704 ----a-w C:\WINDOWS\system32 vdisps.dll 2007-09-16 23:07 5,783,040 ----a-w C:\WINDOWS\system32 v4_disp.dll 2007-09-16 23:07 5,509,120 ----a-w C:\WINDOWS\system32 vdispsr.dll 2007-09-16 23:07 466,944 ----a-w C:\WINDOWS\system32 vshell.dll 2007-09-16 23:07 458,752 ----a-w C:\WINDOWS\system32 vmccssr.dll 2007-09-16 23:07 45,056 ----a-w C:\WINDOWS\system32 vmccsrs.dll 2007-09-16 23:07 442,368 ----a-w C:\WINDOWS\system32 vappbar.exe 2007-09-16 23:07 425,984 ----a-w C:\WINDOWS\system32\keystone.exe 2007-09-16 23:07 364,544 ----a-w C:\WINDOWS\system32 vapi.dll 2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32 vcodins.dll 2007-09-16 23:07 36,864 ----a-w C:\WINDOWS\system32 vcod.dll 2007-09-16 23:07 356,352 ----a-w C:\WINDOWS\system32 vudisp.exe 2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32 vwrses.dll 2007-09-16 23:07 335,872 ----a-w C:\WINDOWS\system32 vwrsel.dll 2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32 vwrsfr.dll 2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32 vwrsesm.dll 2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32 vrshe.dll 2007-09-16 23:07 327,680 ----a-w C:\WINDOWS\system32 vrsar.dll 2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32 vwrspt.dll 2007-09-16 23:07 323,584 ----a-w C:\WINDOWS\system32 vwrsit.dll 2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32 vwrsptb.dll 2007-09-16 23:07 319,488 ----a-w C:\WINDOWS\system32 vwrsnl.dll 2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32 vwrsru.dll 2007-09-16 23:07 315,392 ----a-w C:\WINDOWS\system32 vwrshu.dll 2007-09-16 23:07 311,296 ----a-w C:\WINDOWS\system32 vwrsde.dll 2007-09-16 23:07 307,200 ----a-w C:\WINDOWS\system32 vexpbar.dll 2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32 vwrstr.dll 2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32 vwrssl.dll 2007-09-16 23:07 303,104 ----a-w C:\WINDOWS\system32 vwrsfi.dll 2007-09-16 23:07 3,629,056 ----a-w C:\WINDOWS\system32 vvitvsr.dll 2007-09-16 23:07 3,551,232 ----a-w C:\WINDOWS\system32 vvitvs.dll 2007-09-16 23:07 3,334,144 ----a-w C:\WINDOWS\system32 vgames.dll 2007-09-16 23:07 3,166,208 ----a-w C:\WINDOWS\system32 vgamesr.dll 2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32 vwrssk.dll 2007-09-16 23:07 299,008 ----a-w C:\WINDOWS\system32 vwrsno.dll 2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32 vwrssv.dll 2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32 vwrspl.dll 2007-09-16 23:07 294,912 ----a-w C:\WINDOWS\system32 vwrsda.dll 2007-09-16 23:07 290,816 ----a-w C:\WINDOWS\system32 vwrsth.dll 2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32 vwrseng.dll 2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32 vwrscs.dll 2007-09-16 23:07 286,720 ----a-w C:\WINDOWS\system32 vnt4cpl.dll 2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32 vwrsar.dll 2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32 vrsfr.dll 2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32 vrses.dll 2007-09-16 23:07 282,624 ----a-w C:\WINDOWS\system32 vrsel.dll 2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32 vwrshe.dll 2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32 vrsit.dll 2007-09-16 23:07 278,528 ----a-w C:\WINDOWS\system32 vrsde.dll 2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32 vrspt.dll 2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32 vrsnl.dll 2007-09-16 23:07 274,432 ----a-w C:\WINDOWS\system32 vrsesm.dll 2007-09-16 23:07 270,336 ----a-w C:\WINDOWS\system32 vrsru.dll 2007-09-16 23:07 266,240 ----a-w C:\WINDOWS\system32 vrsptb.dll 2007-09-16 23:07 266,240 ----a-w C:\WINDOWS\system32 vrsja.dll 2007-09-16 23:07 258,048 ----a-w C:\WINDOWS\system32 vrstr.dll 2007-09-16 23:07 258,048 ----a-w C:\WINDOWS\system32 vrssl.dll 2007-09-16 23:07 258,048 ----a-w C:\WINDOWS\system32 vrssk.dll 2007-09-16 23:07 258,048 ----a-w C:\WINDOWS\system32 vrsko.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57] "NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-02-10 17:00] "WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cmaudio"="RunDll32 cmicnfg.cpl" [] "Dit"="Dit.exe" [] "CHotkey"="mHotkey.exe" [2003-06-27 14:39 C:\WINDOWS\mHotkey.exe] "PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 15:37] "Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 16:14] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB ealsched.exe" [2003-09-26 13:53] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 22:32] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 22:31] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 22:32] "AntivirusRegistration"="C:\Programme\CA\Etrust Antivirus\Register.exe" [2005-01-31 15:09] "Realtime Monitor"="C:\PROGRA~1\CA\ETRUST~1 ealmon.exe" [2004-06-25 23:17] "ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-02-16 16:15] "NvCplDaemon"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "nwiz"="nwiz.exe" [] "NvMediaCenter"="RUNDLL32.exe" [2004-08-04 00:58 C:\WINDOWS\system32 undll32.exe] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-03 22:39] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Assistant d'Acrobat.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 00:19:50] Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "InCD"=C:\Programme\Ahead\InCD\InCD.exe "NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe "PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "SideWinderTrayV4"=C:\PROGRA~1\MI948F~1\GAMECO~1\Common\SWTrayV4.exe R0 TwkMs;CHIPDRIVE Maus Adapter;C:\WINDOWS\system32\drivers\TwkMs.sys R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe R2 TwkPCSC;CHIPDRIVE PC/SC Drivers;C:\WINDOWS\system32\drivers\TwkPCSC.sys R2 TWKSCARDSRV;CHIPDRIVE SCARD Service;C:\WINDOWS\SCARDS32.EXE R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 GcKernel;Microsoft SideWinder Value Add - Filtertreiber;C:\WINDOWS\system32\DRIVERS\GcKernel.sys R3 HIDSwvd;Microsoft SideWinder-Minitreiber für virtuelles HID-Gerät;C:\WINDOWS\system32\DRIVERS\HIDSwvd.sys R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys R3 TWKPNP;CHIPDRIVE Plug and Play driver;C:\WINDOWS\system32\DRIVERS\TWKPNP.SYS S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe" S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS S3 P0630VID;Creative WebCam Live!;C:\WINDOWS\system32\DRIVERS\P0630Vid.sys S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe -k p2psvc S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys S3 sony_ssm.sys;sony_ssm.sys;\??\C:\DOKUME~1\LIONEL~1\LOKALE~1\Temp\sony_ssm.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc . Inhalt des "geplante Tasks" Ordners "2007-11-23 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe "2007-12-13 22:00:00 C:\WINDOWS\Tasks\AD6098B9916F130D.job" - c:\dokume~1\lionel~1\anwend~1\bodyfa~1\Open Live Creative.exe . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-14 08:34:10 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-12-14 8:34:52 C:\ComboFix2.txt ... 2007-12-12 09:44 . 2007-12-12 07:24:48 --- E O F --- Puis celui de AVG: --------------------------------------------------------- AVG Anti-Spyware - Rapport d'analyse --------------------------------------------------------- + Créé à: 15:09:10 15.12.2007 + Résultat de l'analyse: :mozilla.17:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise. :mozilla.73:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise. :mozilla.74:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise. :mozilla.75:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Adbrite : Aucune action entreprise. :mozilla.19:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Adtech : Aucune action entreprise. :mozilla.117:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Atdmt : Aucune action entreprise. :mozilla.101:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Clickhype : Aucune action entreprise. :mozilla.11:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise. :mozilla.12:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise. :mozilla.189:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Etracker : Aucune action entreprise. :mozilla.190:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Etracker : Aucune action entreprise. :mozilla.115:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Imrworldwide : Aucune action entreprise. :mozilla.116:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Imrworldwide : Aucune action entreprise. :mozilla.16:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Mediaplex : Aucune action entreprise. :mozilla.184:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Overture : Aucune action entreprise. :mozilla.58:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise. :mozilla.59:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise. :mozilla.60:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise. :mozilla.61:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise. :mozilla.91:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Statcounter : Aucune action entreprise. :mozilla.62:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise. :mozilla.63:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise. :mozilla.64:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise. :mozilla.65:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Tradedoubler : Aucune action entreprise. :mozilla.52:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise. :mozilla.203:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Webtrends : Aucune action entreprise. C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@m.webtrends[1].txt -> TrackingCookie.Webtrends : Aucune action entreprise. :mozilla.103:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yadro : Aucune action entreprise. :mozilla.104:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yadro : Aucune action entreprise. :mozilla.68:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise. :mozilla.69:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise. :mozilla.70:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise. :mozilla.71:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise. :mozilla.72:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Yieldmanager : Aucune action entreprise. :mozilla.144:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Zedo : Aucune action entreprise. :mozilla.145:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Zedo : Aucune action entreprise. :mozilla.146:C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\Mozilla\Firefox\Profiles\default.9z6\cookies.txt -> TrackingCookie.Zedo : Aucune action entreprise. Fin du rapport AVG n'a trouvé que des cookies qui ont été effacés par la suite. Concernant c: install, effectivement, j'ai ce fichier sur mon dique dur mais je ne sais pas à quoi il sert. Je pensais que c'était un fichier système. Dois je l'effacer? Parfois mon antivirus détecte abetear mais c'est beaucoup plus rarement qu'avant. Merci pour tes conseils. Lionel

Roger54 · Answer

Salut lionelchan,


Télécharge ceci: (by Moe) :

http://sosvirus.changelog.fr/Green_day/Lopxpsetup.exe

Double clic sur Lopxpsetup.exe pour lancer l'installation
Au menu, choisir l'option 1
Patienter jusqu'à que l'on demande d'appuyer sur une touche, appuyer !
Une rapport sera alors crée, à copie/colle en entier sur le forum.



Pour C:\Install il doit avoir un petit copin:

2007-11-21 14:28 . 2007-11-21 15:28 <DIR> d-------- C:\Programme\qpcbanax
2007-11-21 14:28 . 2007-11-21 14:29 1,149,472 --a------ C:\Install

Qu'est ce qu'il y a dans ces répertoires?


A+

lionelchan · Answer

Bonjour Roger,

Voici le rapport Lopxpsetup:

Rapport Lopxp fait le 19.12.2007 à 14:21:11
Exécuté dans : C:\Programme\Lopxp


Liste des processus actifs :

PID : 484 C:\WINDOWS\System32\smss.exe
PID : 536 C:\WINDOWS\system32\csrss.exe
PID : 564 C:\WINDOWS\system32\winlogon.exe
PID : 608 C:\WINDOWS\system32\services.exe
PID : 620 C:\WINDOWS\system32\lsass.exe
PID : 792 C:\WINDOWS\system32\svchost.exe
PID : 844 C:\WINDOWS\system32\svchost.exe
PID : 916 C:\WINDOWS\System32\svchost.exe
PID : 936 C:\Programme\Ahead\InCD\InCDsrv.exe
PID : 1044 C:\WINDOWS\System32\svchost.exe
PID : 1116 C:\WINDOWS\System32\svchost.exe
PID : 1276 C:\WINDOWS\system32\spoolsv.exe
PID : 1356 C:\WINDOWS\System32\SCardSvr.exe
PID : 1560 C:\WINDOWS\Explorer.EXE
PID : 1660 C:\WINDOWS\mHotkey.exe
PID : 1676 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
PID : 1684 C:\Programme\Gemeinsame Dateien\Real\Update_OBealsched.exe
PID : 1692 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
PID : 1756 C:\PROGRA~1\CA\ETRUST~1ealmon.exe
PID : 1764 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
PID : 1780 C:\WINDOWS\system32\RUNDLL32.EXE
PID : 1796 C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
PID : 1804 C:\WINDOWS\system32\ctfmon.exe
PID : 1824 C:\Programme\Windows Media Player\WMPNSCFG.exe
PID : 1888 C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
PID : 188 C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
PID : 224 C:\WINDOWS\system32\drivers\CDAC11BA.EXE
PID : 384 C:\WINDOWS\System32\svchost.exe
PID : 420 C:\Programme\CA\eTrust Antivirus\InoRpc.exe
PID : 456 C:\Programme\CA\eTrust Antivirus\InoRT.exe
PID : 316 C:\Programme\CA\eTrust Antivirus\InoTask.exe
PID : 1100 C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
PID : 1240 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
PID : 1388 C:\WINDOWS\system32
vsvc32.exe
PID : 1584 C:\WINDOWS\System32	cpsvcs.exe
PID : 1924 C:\WINDOWS\System32\svchost.exe
PID : 2092 C:\WINDOWS\SCARDS32.EXE
PID : 2108 C:\WINDOWS\system32\UAService7.exe
PID : 2228 C:\Programme\Windows Media Player\WMPNetwk.exe
PID : 3080 C:\WINDOWS\System32\alg.exe
PID : 2944 C:\WINDOWS\system32\cmd.exe
PID : 3168 C:\Programme\Lopxp	ools\pv.exe



___________________________________________________________________________

[Tâches planifiées]


C:\WINDOWS	asks\1-Klick-Wartung.job 

Cr : 08.07.2005 à 20:33
Mo : 14.12.2007 à 17:15
Fichier exécuté : C\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart

C:\WINDOWS	asks\AD6098B9916F130D.job 

Cr : 09.08.2007 à 20:25
Mo : 18.12.2007 à 23:00
Fichier exécuté : c\dokume~1\lionel~1\anwend~1\bodyfa~1\Open Live Creative.exe 


___________________________________________________________________________

[Listing des dossiers Application Data]


cr: Date Création | mo: Date Modification -=- Nom Long -= Nom Court (8.3)


___________________________________________________________________________

[Listing du dossier Program Files]

+- C:\Programme

cr: 25.02.2004 22:47:31 | mo: 25.02.2004 22:47:31 -=- ACDSYS~1 -= ACD Systems
cr: 20.09.2003 18:23:21 | mo: 18.08.2005 20:32:11 -=- Adobe ----= Adobe
cr: 11.05.2007 08:26:22 | mo: 11.05.2007 08:26:33 -=- AGEIAT~1 -= AGEIA Technologies
cr: 20.09.2003 18:46:39 | mo: 04.03.2005 21:00:40 -=- Ahead ----= Ahead
cr: 09.07.2005 14:14:55 | mo: 26.09.2007 16:24:22 -=- AMERIC~1 -= America's Army
cr: 26.09.2006 17:10:42 | mo: 26.09.2006 17:17:13 -=- AMERIC~2 -= America's Army Server Manager
cr: 31.01.2004 09:53:15 | mo: 31.01.2004 09:53:15 -=- Anark ----= Anark
cr: 05.06.2005 10:26:24 | mo: 05.06.2005 10:56:38 -=- ArcSoft --= ArcSoft
cr: 20.09.2003 16:11:06 | mo: 26.10.2007 20:44:21 -=- ATITEC~1 -= ATI Technologies
cr: 06.06.2005 21:33:21 | mo: 06.06.2005 21:33:21 -=- AVANTG~1 -= AvantGo Connect
cr: 26.08.2006 06:40:02 | mo: 14.12.2007 09:04:05 -=- Azureus --= Azureus
cr: 20.09.2003 16:33:48 | mo: 20.09.2003 16:33:48 -=- C-MEDI~1 -= C-Media 3D Audio
cr: 20.09.2003 18:24:18 | mo: 20.09.2003 18:24:23 -=- CA -------= CA
cr: 04.08.2006 14:28:11 | mo: 04.08.2006 14:30:59 -=- Canon ----= Canon
cr: 25.08.2006 18:07:10 | mo: 25.08.2006 18:07:11 -=- CCleaner -= CCleaner
cr: 15.12.2003 21:49:29 | mo: 15.12.2003 21:49:29 -=- CDViewer -= CDViewer
cr: 14.11.2004 21:31:18 | mo: 14.11.2004 21:31:18 -=- CHIPDR~1 -= CHIPDRIVE
cr: 05.05.2007 11:01:31 | mo: 05.05.2007 11:01:33 -=- COMBIN~1 -= Combined Community Codec Pack
cr: 20.09.2003 17:37:16 | mo: 06.06.2005 21:33:19 -=- COMMON~1 -= Common Files
cr: 05.06.2005 10:23:55 | mo: 12.06.2005 21:34:16 -=- Creative -= Creative
cr: 22.09.2003 21:56:28 | mo: 02.10.2003 16:46:37 -=- CYBERL~1 -= CyberLink
cr: 30.04.2007 11:20:05 | mo: 30.04.2007 11:20:05 -=- directx --= directx
cr: 23.02.2004 19:35:17 | mo: 21.04.2005 19:49:15 -=- DVDDEC~1 -= DVD Decrypter
cr: 08.02.2004 22:08:57 | mo: 08.02.2004 22:08:57 -=- DVDSHR~1 -= DVD Shrink
cr: 25.12.2003 19:01:06 | mo: 13.08.2005 21:46:52 -=- GAMESP~1 -= GameSpy Arcade
cr: 20.09.2003 16:45:35 | mo: 09.12.2007 11:43:23 -=- GEMEIN~1 -= Gemeinsame Dateien
cr: 26.09.2006 12:50:29 | mo: 21.11.2007 20:12:05 -=- GetRight -= GetRight
cr: 23.07.2007 12:10:46 | mo: 24.07.2007 12:03:13 -=- Google ---= Google
cr: 02.12.2007 12:52:55 | mo: 02.12.2007 12:52:55 -=- Grisoft --= Grisoft
cr: 19.05.2004 16:13:24 | mo: 03.06.2007 11:11:34 -=- Haufe ----= Haufe
cr: 12.03.2004 22:21:45 | mo: 12.03.2004 22:21:45 -=- HIGHMA~1 -= HighMAT CD Writing Wizard
cr: 20.09.2003 16:08:48 | mo: 22.11.2007 13:24:41 -=- INSTAL~1 -= InstallShield Installation Information
cr: 20.09.2003 16:09:29 | mo: 20.09.2003 16:09:29 -=- Intel ----= Intel
cr: 20.09.2003 15:48:41 | mo: 12.12.2007 08:22:20 -=- INTERN~1 -= Internet Explorer
cr: 01.08.2006 20:55:56 | mo: 01.08.2006 20:56:13 -=- Inventel -= Inventel
cr: 12.02.2004 23:01:59 | mo: 12.10.2007 07:30:01 -=- Java -----= Java
cr: 10.01.2004 22:28:43 | mo: 10.01.2004 22:28:46 -=- JVTORR~1 -= JVTorrent
cr: 08.07.2005 22:21:51 | mo: 08.07.2005 22:21:51 -=- Lavasoft -= Lavasoft
cr: 19.12.2007 14:20:51 | mo: 19.12.2007 14:21:13 -=- Lopxp ----= Lopxp
cr: 09.07.2005 14:14:33 | mo: 09.07.2005 14:14:33 -=- MANAGE~1 -= Managed DirectX (0901)
cr: 27.09.2003 11:36:03 | mo: 21.11.2007 20:16:40 -=- MEDION~2 -= Medion Home Cinema XL II
cr: 20.09.2003 17:11:40 | mo: 22.09.2003 20:55:21 -=- MEDION~1 -= Medion Tools
cr: 20.09.2003 15:48:12 | mo: 10.02.2005 03:01:54 -=- MESSEN~1 -= Messenger
cr: 06.06.2005 21:32:48 | mo: 17.10.2007 08:19:20 -=- MI3AA1~1 -= Microsoft ActiveSync
cr: 20.09.2003 19:04:10 | mo: 20.09.2003 19:04:46 -=- MI2493~1 -= Microsoft AutoRoute
cr: 20.09.2003 19:11:31 | mo: 20.09.2003 19:11:31 -=- MIF408~1 -= Microsoft Encarta
cr: 20.09.2003 15:50:11 | mo: 20.09.2003 15:50:11 -=- MICROS~1 -= microsoft frontpage
cr: 30.07.2005 09:21:26 | mo: 12.11.2006 10:17:54 -=- MI9A48~1 -= Microsoft Games
cr: 03.04.2004 14:11:04 | mo: 03.04.2004 14:11:04 -=- MI948F~1 -= Microsoft Hardware
cr: 20.09.2003 19:00:40 | mo: 20.09.2003 19:01:06 -=- MICROS~4 -= Microsoft Office
cr: 20.09.2003 19:07:52 | mo: 20.09.2003 19:10:35 -=- MI7D8A~1 -= Microsoft Picture It! 9
cr: 20.09.2003 19:01:06 | mo: 20.09.2003 19:01:06 -=- MIAF9D~1 -= Microsoft Visual Studio
cr: 20.09.2003 18:56:46 | mo: 21.11.2007 20:15:15 -=- MICROS~3 -= Microsoft Works
cr: 20.09.2003 18:56:10 | mo: 20.09.2003 18:56:10 -=- MICROS~2 -= Microsoft Works Suite 2004
cr: 20.09.2003 15:48:44 | mo: 14.11.2004 11:44:58 -=- MOVIEM~1 -= Movie Maker
cr: 23.02.2004 19:41:05 | mo: 19.12.2007 14:18:11 -=- MOZILL~1 -= Mozilla Firefox
cr: 20.09.2003 15:47:59 | mo: 20.09.2003 15:48:14 -=- MSN ------= MSN
cr: 20.09.2003 15:48:09 | mo: 20.09.2003 15:48:09 -=- MSNGAM~1 -= MSN Gaming Zone
cr: 25.03.2007 10:52:49 | mo: 25.03.2007 11:46:48 -=- MSNMES~1 -= MSN Messenger
cr: 16.11.2006 11:32:24 | mo: 16.11.2006 11:32:24 -=- MSXML4~1.0 -= MSXML 4.0
cr: 02.12.2007 20:19:05 | mo: 02.12.2007 20:21:23 -=- Navilog1 -= Navilog1
cr: 20.09.2003 15:48:43 | mo: 04.06.2005 14:36:21 -=- NETMEE~1 -= NetMeeting
cr: 01.12.2005 22:21:28 | mo: 01.12.2005 22:21:28 -=- NIKE_P~1 -= Nike + Philips
cr: 20.09.2003 18:12:07 | mo: 20.09.2003 18:12:07 -=- Nullsoft -= Nullsoft
cr: 20.09.2003 15:48:14 | mo: 20.09.2003 15:48:14 -=- ONLINE~1 -= Online Services
cr: 20.09.2003 15:49:01 | mo: 31.08.2004 21:54:52 -=- ONLINE~2 -= Online-Dienste
cr: 10.05.2007 09:07:31 | mo: 10.05.2007 09:07:31 -=- OpenAL ---= OpenAL
cr: 20.09.2003 15:48:42 | mo: 14.06.2007 15:36:56 -=- OUTLOO~1 -= Outlook Express
cr: 01.12.2005 22:21:31 | mo: 01.12.2005 22:21:58 -=- Philips --= Philips
cr: 22.09.2003 20:26:57 | mo: 22.09.2003 20:26:57 -=- Pinnacle -= Pinnacle
cr: 07.08.2007 08:51:28 | mo: 07.08.2007 08:51:28 -=- Polar ----= Polar
cr: 21.11.2007 14:28:53 | mo: 21.11.2007 15:28:55 -=- qpcbanax -= qpcbanax
cr: 23.11.2003 21:38:40 | mo: 03.03.2005 22:39:31 -=- QUICKT~1 -= QuickTime
cr: 20.09.2003 18:11:56 | mo: 20.09.2003 18:11:56 -=- Real -----= Real
cr: 09.07.2005 14:20:07 | mo: 13.08.2005 21:47:51 -=- SEEMEP~1 -= SeeMePlayMe
cr: 14.11.2007 19:53:00 | mo: 14.11.2007 19:53:00 -=- Sierra ---= Sierra
cr: 09.12.2007 11:43:23 | mo: 09.12.2007 11:43:27 -=- Skype ----= Skype
cr: 03.12.2007 10:29:58 | mo: 09.12.2007 12:11:46 -=- SPYBOT~1 -= Spybot - Search & Destroy
cr: 24.11.2007 21:55:09 | mo: 02.12.2007 13:00:56 -=- TRENDM~1 -= Trend Micro
cr: 16.10.2007 13:14:23 | mo: 16.10.2007 13:14:23 -=- Ubisoft --= Ubisoft
cr: 20.09.2003 15:52:45 | mo: 22.07.2004 20:30:09 -=- UNINST~1 -= Uninstall Information
cr: 01.10.2003 20:50:56 | mo: 01.10.2003 20:50:56 -=- USBWIR~1.24M -= USB Wireless Keyboard Driver Ver1.24M
cr: 20.09.2003 18:12:08 | mo: 20.09.2003 18:12:08 -=- VIEWPO~1 -= Viewpoint
cr: 31.07.2005 14:16:05 | mo: 21.08.2005 16:22:57 -=- vso ------= vso
cr: 20.09.2003 15:56:18 | mo: 20.09.2003 15:56:18 -=- WINDOW~4 -= Windows Journal Viewer
cr: 25.05.2006 11:02:57 | mo: 13.12.2006 15:03:58 -=- WI4DF6~1 -= Windows Media Connect 2
cr: 20.09.2003 15:48:14 | mo: 13.12.2006 15:03:57 -=- WINDOW~2 -= Windows Media Player
cr: 20.09.2003 15:47:59 | mo: 14.11.2004 11:41:52 -=- WINDOW~1 -= Windows NT
cr: 20.09.2003 15:48:14 | mo: 05.07.2005 14:28:02 -=- WINDOW~3 -= WindowsUpdate
cr: 02.12.2003 23:07:01 | mo: 28.07.2005 22:04:19 -=- WinRAR ---= WinRAR
cr: 27.09.2003 11:38:01 | mo: 27.09.2003 11:38:06 -=- X10HAR~1 -= X10 Hardware
cr: 20.09.2003 15:50:11 | mo: 20.09.2003 15:50:11 -=- xerox ----= xerox

___________________________________________________________________________

[Recherche programmes connus, liés à CiD]




___________________________________________________________________________

[Clés registre de démarrage]


___________________________________________________________________________

[Popups autorisés]


[-] Internet Explorer :

PopupMgr

[-] Mozilla Firefox

[-] Suite Mozilla / SeaMonkey


___________________________________________________________________________

[Suggestion nettoyage registre] 

- Aucune suggestion.


- Fin du rapport -

Concernant le fichier c:\ Install: ceci est  un fichier de 1123 kb, sans extension connue.
Concernant \Programme \qpcbanax, ce répertoire est vide.

Merci et à+,
Lionelchan

Roger54 · Answer

Salut lionelchan,

Je t'ai mis un Message Privé, juste pour récuperer une information :) .


Bonne soirée

lionelchan · Answer

Salut Roger,

Merci mais qu'est-ce qu'un message privé?
Okay J'ai comprix, j'ai un message dans mon inbox, oublie ce message.
A+,
Lionel

lionelchan · Answer

Bonjour Roger,

Pour répondre à ton dernier message, voici le chemin demandé:

C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\body face wma\0

Le fichier contenu dans le dossier "body face wma" apparait sous le nom "0" et non sous " Open Live Creative.exe" comme tu l'avais dit.
Par contre, j'ai trouvé la tache planifiée qui est présente sous windows	ask...

Dois-je effecer ces deux éléments?
A+ et Joyeux Noel,
Lionelchan

Roger54 · Answer

Salut lionelchan,


Oui on va les supprimer:

Deconnecte toi d'internet

puis va dans :

demarrer > executer et tape cmd
dans la fenetre dos, copie et colle ceci:

del /a C:\WINDOWS\Tasks\AD6098B9916F130D.job

Supprimes le fichie 
C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\body face wma\0 


Concérnant c:\ Install, il faut approfondir plus.
Soit c'est bien un dossier "malicieux" et dans ce cas on supprime soit il est légitime et installé par un progamme et donc il faudra mettre a jour un outil de désinfection.

Qu'est-ce que contient exactement ce dossier?
Est-ce qu'il contient d'autres répertoires comme C:\install\dell par exemple ?
Tu pourrais me donner les noms des fichiers qu'il contient. (si trop long, on regardera pour faire autrement)

Bonne soirée

lionelchan · Answer

Salut Roger,

J'ai effacé les 2 fichiers.

Concernant C:Install:
- ce fichier n'est pas un dossier, c'est une fichier unique de 1123 kb crée le 21.11.2007, donc peu après mes problèmes de virus.
- Je ne peux pas ouvrir ce fichier car l'extension est inexistante
- j'ai fait un edit sous DOS mais n'apparaissent que des signes  et pas de cohérence. DOS s'est planté après d'ailleurs.
- En faisant une recherche par date de création, j'ai remarqué que ce fichier a été créé le même jour à la même heure que le dossier qpcbanax (2 secondes après pour être précis) dont nous avons parlé auparavant. D'ailleurs ce dossier est encore présent sur mon dique dur, mais vide. Il y a peut-être un rapport entre ces deux fichiers-dossiers.
Que fait-on?

A+, bonnes fêtes,
Lionelchan

Roger54 · Answer

Salut  lionelchan,


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !


si les fichiers sont toujours présent, supprimes les.


Je te souhaite également de bonnes fêtes.
Je serais là Lundi, avec un peu plus de temps.


a+

lionelchan · Answer

Salut Roger,

Voici les rapports de SDFix et HiJackThis:


SDFix: Version 1.120

Run by Lionel Hervet on 30.12.2007 at 08:34

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\LIONEL~1\Desktop\SDFix

Safe Mode:
Checking Services: 


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files: 

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found. 

C:\WINDOWS\system32
No streams found. 

C:\WINDOWS\system32\svchost.exe
No streams found.
 
C:\WINDOWS\system32
toskrnl.exe
No streams found.
 


                                 Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-30 08:41:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:e93abdf1
"s2"=dword:08241706
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,89,b5,8d,0d,8c,3a,c7,f8,56,54,72,4d,b5,31,ba,98,98,10,b9,fb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:97,89,b5,8d,0d,8c,3a,c7,f8,56,54,72,4d,b5,31,ba,98,98,10,b9,fb,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000028
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Burut CT\22\4>\4A\4B\4>\4G\4=\4K\49\4 ]
"Order"=hex:08,00,00,00,02,00,00,00,58,02,00,00,01,00,00,00,04,00,00,00,c8,..

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Programme\Azureus\Azureus.exe"="C:\Programme\Azureus\Azureus.exe:*:Enabled:Azureus"
"C:\Programme\CA\eTrust Antivirus\InocIT.exe"="C:\Programme\CA\eTrust Antivirus\InocIT.exe:*:Enabled:InocIT"
"C:\Programme\Skype\Phone\Skype.exe"="C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Programme\Electronic Arts\Crytek\Crysis SP Demo\Bin32\Crysis.exe"="C:\Programme\Electronic Arts\Crytek\Crysis SP Demo\Bin32\Crysis.exe:*:Enabled:Crysis_32_sp_demo"
"C:\Programme\CA\eTrust Antivirus\Shellscn.exe"="C:\Programme\CA\eTrust Antivirus\Shellscn.exe:*:Enabled:Shellscn"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Sun 12 Sep 2004         4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 14 Mar 2005       299,008 A..H. --- "C:\Programme\Canon\MP Navigator 2.2\Maint.exe"
Mon 25 Apr 2005        61,440 A..H. --- "C:\Programme\Canon\MP Navigator 2.2\uinstrsc.dll"
Wed 13 Dec 2006             0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Sun 25 Feb 2007            96 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Fri 10 Feb 2006           444 ...HR --- "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuROM\UserData\securom_v7_01G.bak"
Sun  3 Sep 2006         2,664 ...HR --- "C:\Dokumente und Einstellungen\Lionel Hervet\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished! 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:47:39, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32	cpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OBealsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\CA\ETRUST~1ealmon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Trend Micro\Hjakis\HThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OBealsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\CA\Etrust Antivirus\Register.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1ealmon.exe -s
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Assistant d'Acrobat.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - https://www.medion.com/de/shop (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=https://www.aldi.com/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/71365/kavwebscan_unicode.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/fr/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugins/SEBChipcardPlugin126.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://www.gamespy.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E123BED4-B8C7-42BB-958F-F13CA77EF95D} (Anark Client ActiveX Control) - http://update.anark.com/client/version2-beta/windows-ie/en/AMClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER
tsrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Roger54 · Answer

Salut lionelchan,


Bon on est pas trop mal,
Supprimes les 2 fichiers.

Quelques remarques:

-Je ne vois pas de pare-feu actif, qu'as-tu comme pare-feu?
si tu as celui de windows, il faudrait en changer pour un pare-feu plus efficace.


-Info sur Boonty Games:

Leur politique :


"Il se peut que nous partageons aussi des informations payantes avec des tiers
qui fournissent ds services payants et partage des données regroupées montrant le type
et le nombre de jeux videos que vous téléchargez, votre age, votre sexe, vos occupations,
niveau d'éducation, localité géographique, données sur l'équipement de votre ordinateur,
internet et intérêts pour les jeux videos, activités et entrainement des jeux édités.
De plus, nous partageons les adresses email avec des tiers fournisseurs de compte mails
qui nous assistent en envoyant nos mails a de nombreux clients en même temps..."


Si tu n'as pas de problème avec ce qui est écrit au dessus ne fait pas les manips concernant Boonty.

--------------------------------------------------
* Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe 

Clique sur fix checked.

Ferme Hijackthis.


Ensuite fait
-> Démarrer
-> Exécuter...
Tape Services.msc puis valide
Double clique sur " Boonty Games "
Clique en bas sur " Arrêter "
Valide les changements.


A+

lionelchan · Answer

Salut Roger,

J'ai viré Boonty et les 2 fichiers.
Je n'ai pas de pare-feu autre que Windows. J'en ai essayé une ou 2 fois mais cela ralentissait ma connection internet et mon ordinateur en général donc j'ai arrêté. De + mon système PC a plus de 5 ans maintenant et j'ai peur que les nouveaux pare-feu demandent encore plus de ressources qu'avant. Me trompe-je?
Si tu connais un pare-feu gratuit qui bouffe pas trop de ressources, tes conseils sont les bienvenus.
A plus et bonne année!!!
Lionelchan

Roger54 · Answer

Salut  lionelchan, 

Je ne peux pas t'obliger à installer quoi que ce soit juste te le conseiller.

En ce qui concerne le pare-feu de windows xp:
http://www.commentcamarche.net/faq/sujet 3486 securite le pare feu de windows xp


Ton système était bien infecté ce qui provoque également des ralentissements sur ton pc.
Certe l'ajout d'un pare-feu te fera un peu ralentir ton pc, mais il vaut mieux être ralenti par l'ajout d'un pare-feu qui te protégera plus efficacement, plutôt que par une infection.

Tu as Kerio ou ZoneAlarm qui sont bien, regarde ici section firewall:
http://www.malekal.com/menu_tutorials_logiciels.php

A+

lionelchan · Answer

Salut Roger,

Merci tout d'abord d'avoir résolu tous les virus et autres saletés de mon ordi. J'avais un instant cru devoir faire un reboot complet.

J'ai installé sunbelt car Zone Alarm ne marche pas avec mon antivirus actuel. Pour l'instant tout va bien, pas de ralentissement. On verra avec Amercfia's Army online.
Si tu penses qu'il y a encore des trucs à nettoyer, nous pouvons continuer la discussion. Sinon encore une fois merci pour ton aide très précieuse, précise et super pro.
A+
Lionel

Roger54 · Answer

Salut  lionelchan,

Il faut quand même que tu évites les cracks et autres Keygens
Tu peux faire des scans réguliérement avec ton antivirus et AVG Anti-spyware.
Tu peux également faire des scans en ligne.


https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte
On va te demander de télécharger des contrôles active x, accepte .
Laisse le faire les mises à jour puis quand il aura fini, clique sur Suivant
Dans le menu Choisissez la cible de l'analyse , sélectionne Poste de travail .
Le scan va commencer.

NOTE: le scan est à faire avec Internet Explorer


Tu peux faire un scan, comme ça on verra si tu as encore quelques choses a enlever.
Copie\Colle le rapport ici.

A+

lionelchan · Answer

Salut Roger,

Voici le rapport de Kaspersky Online:
   KASPERSKY ON-LINE SCANNER REPORT
Friday, January 04, 2008 8:18:35 PM
Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.98.0
Dernière mise à jour de la base antivirus Kaspersky : 4/01/2008
Enregistrements dans la base antivirus Kaspersky : 502526
Paramètres d'analyse
Analyser avec la base antivirus suivante 	étendue
Analyser les archives 	vrai
Analyser les bases de messagerie 	vrai
Cible de l'analyse 	Poste de travail
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\
Statistiques de l'analyse
Total d'objets analysés 	106830
Nombre de virus trouvés 	11
Nombre d'objets infectés 	27
Nombre d'objets suspects 	2
Durée de l'analyse 	01:36:22

Nom de l'objet infecté 	Nom du virus 	Dernière action
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Yazzle.zip/Yazzle1162OinUninstaller.exe 	Suspect : Password-protected-EXE 	ignoré
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Yazzle.zip 	ZIP: suspect - 1 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\Navilog1.exe/file7 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\Navilog1.exe 	Inno: infecté - 1 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\OiUninstaller.exe/data0002 	Infecté : not-a-virus:AdWare.Win32.PurityScan.fk 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\OiUninstaller.exe/data0003 	Infecté : not-a-virus:AdWare.Win32.PurityScan.bu 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\OiUninstaller.exe 	NSIS: infecté - 2 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\SmitfraudFix\Reboot.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\SmitfraudFix.exe/data.rar 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Eigene Dateien\Eigene Downloads\Softwares\Anti Spy & Co\SmitfraudFix.exe 	RarSFX: infecté - 2 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\Lokale Einstellungen\Verlauf\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\Lionel Hervet
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\LocalService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT 	L'objet est verrouillé 	ignoré
C:\Dokumente und Einstellungen\NetworkService
tuser.dat.LOG 	L'objet est verrouillé 	ignoré
C:\Programme\CA\eTrust Antivirus\DBtmaster.dbf 	L'objet est verrouillé 	ignoré
C:\Programme\CA\eTrust Antivirus\DBtmaster.ntx 	L'objet est verrouillé 	ignoré
C:\Programme\CA\SharedComponents\ScanEngine\Incoming\Rmtsiglist.txt 	L'objet est verrouillé 	ignoré
C:\Programme\CA\SharedComponents\ScanEngine\Logs\20080104172436.txt 	L'objet est verrouillé 	ignoré
C:\Programme\Navilog1eboot.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\debug.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\debug.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\error.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\error.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\hips.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\hips.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\ids.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\ids.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs
etwork.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs
etwork.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\system.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\system.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\warning.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\warning.log.idx 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\web.log 	L'objet est verrouillé 	ignoré
C:\Programme\Sunbelt Software\Personal Firewall\logs\web.log.idx 	L'objet est verrouillé 	ignoré
C:\qoobox\Quarantine\C\Programme\avp.exe.vir 	Infecté : Trojan-Downloader.Win32.Alphabet.gen 	ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\cfbwwxsi.dll.vir 	Infecté : Trojan.Win32.BHO.abs 	ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\ldhejdmx.dll.vir 	Infecté : not-a-virus:AdWare.Win32.SuperJuan.ao 	ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32fswikgs.dll.vir 	Infecté : not-a-virus:AdWare.Win32.SuperJuan.ag 	ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\uphlfxxn.exe.vir 	Infecté : Trojan-Downloader.Win32.Agent.gwe 	ignoré
C:\qoobox\Quarantine\C\WINDOWS\system32\vgfddwtv\vgfddwtv2.exe.vir 	Infecté : not-a-virus:FraudTool.Win32.UltimateDefender.v 	ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP760\A0190145.exe 	Infecté : Trojan.Win32.Obfuscated.en 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0206961.exe 	Infecté : Trojan-Downloader.Win32.Alphabet.gen 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207032.exe/file7 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207032.exe 	Inno: infecté - 1 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207033.exe/data.rar/SmitfraudFix/Reboot.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207033.exe/data.rar 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207033.exe 	RarSFX: infecté - 2 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP817\A0207041.exe 	Infecté : not-a-virus:RiskTool.Win32.Reboot.f 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP823\A0207722.dll 	Infecté : Trojan.Win32.BHO.abs 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP823\A0207724.dll 	Infecté : not-a-virus:AdWare.Win32.SuperJuan.ag 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP824\A0207861.exe 	Infecté : Trojan-Downloader.Win32.Alphabet.gen 	ignoré
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP842\change.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Debug\PASSWD.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SCARDSRV.TMP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SchedLgU.Txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\Sti_Trace.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2\edb.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\CatRoot2	mp.edb 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\ACEEvent.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\AppEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\default.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\Internet.evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SAM.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SecEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SECURITY.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\software.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\SysEvent.Evt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\config\system.LOG 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\drivers\sptd.sys 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\h323log.txt 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	L'objet est verrouillé 	ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiadebug.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\wiaservc.log 	L'objet est verrouillé 	ignoré
C:\WINDOWS\WindowsUpdate.log 	L'objet est verrouillé 	ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase 	L'objet est verrouillé 	ignoré
Analyse terminée.

J'ai pas tout compris au rapport ais je n'ai entrepris pour l'instant aucune action.

Merci pour ton analyse.
A+
Lionelchan

Roger54 · Answer

Salut lionelchan,


Tu as raison ce scan en ligne chez kaspersky ne supprimes rien.

Il n'y a rien de grâve dans ton rapport juste tes utilitaires utilisés pour la désinfection, la quarantaine de combofix et ta restauration système.

Tu peux supprimer tous les outils utilisés pour te désinfecter.
Supprime ce dossier aussi C:\qoobox.

Pour ta restauration système infectée, on va juste supprimer les points de restauration infecté.

Clic droit sur poste de travail > propriétés > onglet restauration système
puis cocher "désactiver la restauration système".
(accepte le redemarrage) ou redemarre toi meme le pc
Une fois que le pc à redemarré
pour la réactiver tu décoche la case"désactiver la restauration système".


Voila je pense que l'on a fini maintenant.


A+

lionelchan · Answer

J'ai tout supprimé ls fichiers incriminés et fait la restauration comme demandé.
Super , plus de problème!
Encore merci et à une prochaine fois peut-être.
Lionel

Infecté par vundo.IB, vundo.IH, abetear.I!

24 réponses

Discussions similaires

Newsletters